Laboratórna úloha č. 4

Úvod

Cieľom laboratórnej úlohy je zoznámiť sa s možnými hrozbami a analyzovať zraniteľnosti, ktoré ohrozujú sieťovú vrstvu počítačových sietí, predovšetkým s útokom IP spoofing, a tiež demonštrovať spôsoby kryptografického zabezpečenia dátových prenosov s využitím technológie IPsec.

V prvej časti laboratórnej úlohy pomocou vhodných nástrojov vo virtuálnom stroji Kali Linux najskôr realizujete simuláciu sieťového útoku IP spoofing s cieľom demonštrovať spôsob manipulácie s riadiacimi informáciami obsiahnutými v IP záhlaví prenášaného dátového paketu, a to konkrétne generovaním paketov s podvrhnutou zdrojovou IP adresou zariadenia, ktoré má byť cieľom tohto útoku. Okrem vykonania samotného útoku budete jeho priebeh monitorovať a následne analyzovať v prostredí sieťového analyzátora Wireshark. Nakoniec sa budete venovať implementácii bezpečnostného rozšírenia IPsec za účelom zabezpečenia dátových prenosov na úrovni sieťovej vrstvy, a to najskôr v transportnom a neskôr i v tunelovom režime.

Teoretický úvod

V tejto laboratórnej úlohe budete oboznámení s problematikou týkajúcou sa možných bezpečnostných hrozieb na úrovni sieťovej vrstvy referenčného modelu ISO/OSI. Budete oboznámení so základným princípom útoku IP spoofing, u ktorého si vyskúšate aj jeho praktickú simuláciu. V druhej časti počítačového cvičenia sa pokúsite za účelom ochrany prebiehajúcich dátových prenosov na úrovni sieťovej vrstvy implementovať bezpečnostné rozšírenie IPsec ktoré prostredníctvom kryptografických mechanizmov zaisťuje dôvernosť a tiež autentickosť IP prenášaných paketov.

Hrozby na sieťovej vrstve: IP spoofing

IP spoofing je typ sieťového útoku, ktorý spočíva vo falšovaní (resp. podvrhnutí) zdrojovej IP adresy v IP záhlaví odosielaných paketov v snahe vzbudiť dojem, že tieto pakety sú odosielané z iného zariadenia než je zariadenie útočníka. Táto technika umožňuje útočníkovi obísť určité bezpečnostné opatrenia, akými môžu byť pravidlá firewallu pre filtrovanie komunikácie alebo mechanizmy autentifikácie, ktoré používajú ako identifikátor v procese overovania identity práve IP adresu. IP spoofing môže byť útočníkom využitý napr. pri realizácii DDoS útokov Typicky sa s IP spoofingom môžeme stretnúť pri realizácii SYN flood útoku ([2], [3]), alebo pri útoku ICMP flood či Smurf útoku. , kedy je spravidla cieľom útočníka dosiahnuť zahltenie cieľovej stanice (obete) v dôsledku generovania a odosielania falošných požiadaviek s podvrhnutými IP adresami.

Základný mechanizmus IP spoofing útoku spočíva odosielaní IP paketov, v ktorých IP záhlaví útočník manuálne, cielene upraví informácie prenášané v poli zdrojovej IP adresy napr. na skutočnú IP adresu obete (t. j. konkrétneho zariadenia v sieti) alebo legitímneho servera. [1]

Vhodnou ochranou proti popísanému typu útoku môže byť použitie techník ako napr.  ingress filtering, Viac informácií o technike Network Ingress Filtering sa môžete dočítať v oficiálnom RFC dokumente. ktoré umožnia blokovať príjem prichádzajúcich paketov so zdrojovou IP adresou, ktorá nezodpovedá očakávanej adrese pre dané rozhranie, alebo použitie bezpečnostného rozšírenia IPsec (Internet Protocol Security) pre zabezpečenie komunikácie pomocou mechanizmov autentizácie a šifrovania prenášaných dát.

Technológia IPsec

IPsec (Internet Protocol Security) predstavuje bezpečnostné rozšírenie sieťového IP protokolu. Jedná sa o sadu protokolov, ktoré spoločne poskytujú kombináciu bezpečnostných mechanizmov pre komplexné zabezpečenie dátových prenosov prebiehajúcich na úrovni sieťovej vrstvy počítačových sietí s využitím IP protokolu. IPsec je používaný v rôznych prostrediach, spravidla sa s jeho implementáciou môžeme stretnúť napr. pri zabezpečovaní virtuálnych privátnych sietí VPN.

IPsec umožňuje zaistiť integritu a autentizáciu prenášaných IP paketov a tiež ich šifrovanie, a to na úrovni IP protokolu, čím chráni dátové prenosy pred neoprávneným prístupom a manipuláciou.

Protokol IPsec môže byť implementovaný pre fungovanie v dvoch základných módoch (tzv. režimoch). Rozlišujeme:

• transportný režim: šifrovaný je iba obsah prenášaného IP paketu, pričom IP záhlavie paketu zostáva nezmenené, nie je šifrované. Transportný mód býva spravidla používaný pre zabezpečenie komunikácie medzi koncovými bodmi v sieti.
• tunelový režim: šifrovaný je celý pôvodný IP paket vrátane IP záhlavia, ktorý je následne vložený do nového IP paketu s novým IP záhlavím. Tento režim sa používa pri vytváraní tunelov medzi sieťami, napríklad medzi dvomi bránami.

Súčasti protokolu IPsec

Bezpečnostné rozšírenie IPsec poskytuje možnosti komplexného zabezpečenia prenášaných dátových jednotiek prostredníctvom dvoch hlavných protokolov:

• Authentication Header (AH): používa sa za účelom overenia autentickosti prenášaných IP paketov. Poskytuje ochranu prenášaných dát pred neoprávnenou zmenou, ale nezaisťuje ich šifrovanie, a teda ochranu informačného obsahu dát pred neoprávneným odposluchom.
• Encapsulating Security Payload (ESP): zaisťuje šifrovanie prenášaného dátového obsahu (resp. celého IP paketu v tunelovom režime) a súčasne zaisťuje i overenie autentickosti obsahu IP paketu. Autentickosť IP záhlavia je zaistená len v prípade použitia ESP súčasne s AH protokolom.

Zapuzdrenie prenášaného IP paketu, ktoré spočíva v pridaní odpovedajúcich záhlaví a zápätí nesúcich riadiace informácie, pri použití AH a/alebo ESP protokolu pre zabezpečenie ním prenášaného dátového obsahu, je znázornené pre oba prenosové IPsec režimy (transportný o tunelový) na obr. 2.

Podrobnejší popis technológie IPsec možno nájsť napr. v tejto literatúre.

Použité nástroje

V  tejto laboratórnej úlohe budú pre útok IP spoofing, záznam a analýzu prebiehajúcej dátovej komunikácie a neskôr pre implementáciu bezpečnostného rozšírenia IPsec postupne využité nižšie uvedené nástroje:

• hping3: pokročilý nástroj určený ku generovaniu a odosielaniu vlastných IP paketov, ktorého použitie je vhodné napr. práve pre účely simulácie IP spoofing útoku.
• Wireshark: sieťový analyzátor určený pre sledovanie a záznam prebiehajúcej sieťovej komunikácie (resp. jednotlivých paketov) s možnosťou následnej analýzy zachytených paketov.
• Strongswan: open-source knižnica vhodná pre implementáciu bezpečnostného rozšírenia IPsec, používaná tiež pre konfiguráciu bezpečných VPN spojení.

Nástroj hping3

hping3 je flexibilný nástroj vhodný pre použitie ku generovaniu TCP/IP paketov. Umožňuje simuláciu rôznych typov útokov, ako sú napríklad IP spoofing, port scanning či rôzne typy DoS útokov, môže byť použitý i za účelom testovania firewallov. Pomocou nástroja hping3 je možné vytvárať vlastné pakety s upraveným IP záhlavím a sledovať, ako cieľové systémy reagujú na neštandardné sieťové pakety (napríklad či odpovedajú, blokujú komunikáciu alebo generujú chyby apod.).

Pri práci s nástrojom hping3 je možné využiť „pomocníka“ k zobrazeniu dostupných príkazov podporujúcich rozličné funkcie tohto nástroja, a to pomocou príkazu:

Nástroj hping3 tiež možnosť pre overenie dostupnosti cieľovej služby (napr. webového servera). Pomocou nižšie uvedeného príkazu je možné overiť, či je daná testovaná služba aktuálne dostupná a či firewall umožňuje, resp. neblokuje prístup k uvedenému portu:

kde prepínač -S zaistí odoslanie postupne troch TCP/IP paketov s nastaveným príznakom SYN = 1 na port 80 cieľového zariadenia s uvedenou IP adresou

Pre účely simulácie IP spoofingu je možné hping3 použiť nasledovne:

Uvedený príkaz vygeneruje celkom päť TCP SYN paketov smerovaných na port 80 cieľovej IP adresy 192.168.126.130, pričom do záhlavia týchto paketov bude vložená (pomocou prepínača -a) falošná zdrojová IP adresa s hodnotou 192.168.126.129.

Vysvetlenie použitých prepínačov príkazu a ich parametrov:

• sudo: spustenie nástroja s oprávneniami správcu,
• hping3: spustenie príslušného nástroja,
• -a 192.168.126.129: nastavenie falošnej (spoofovanej) zdrojovej IP adresy,
• -S: nastavenie TCP príznaku SYN na hodnotu 1,
• -p 80: cieľový port, typicky používaný pre HTTP,
• -c 5: počet odoslaných paketov (v tomto prípade 5).

Wireshark

Wireshark je pokročilý sieťový analyzátor, ktorý umožňuje zachytávať, vizualizovať a analyzovať sieťovú prevádzku v reálnom čase. Je vhodný pre analýzu komunikačných protokolov a obsahu prenášaných dátových jednotiek, detekciu podozrivých paketov a identifikáciu sieťových problémov. Tento nástroj ponúka možnosť filtrovať zachytenú komunikáciu na základe rôznych kritérií (napr. zdrojová/destinovaná IP, protokol, port, ...).

S nástrojom Wireshark ste sa oboznámili už v predošlom cvičení, v rámci ktorého ste si tiež vyskúšali jeho praktické použitie. Pre potreby praktickej časti tejto laboratórnej úlohy je v tabuľke nižšie uvedený prehľad niekoľkých možných filtrov pre selektívne zobrazenie vhodných paketov zo zaznamenanej komunikácie.

Strogswan

strongSwan je open-source implementácia protokolov IPsec a  IKE (Internet Key Exchange) IKE (Internet Key Exchange) je protokol používaný v rámci IPsec spojenia pre bezpečnú výmenu kryptografických kľúčov a vyjednanie bezpečnostných parametrov medzi dvoma komunikujúcimi stranami. Jeho cieľom je vytvoriť a spravovať tzv. Security Associations (SA), ktoré definujú, aké kryptografické mechanizmy budú použité k zaisteniu dôvernosti a integrity prenášaných dát. V rámci knižnice strongSwan predstavuje IKE nevyhnutnú súčasť, ktorá zaisťuje bezpečné nadviazanie IPsec spojenia a následné obnovenie a/alebo ukončenie vytvoreného tunela. , ktorá umožňuje vytvoriť bezpečné prepojenie dvoch alebo viacerých uzlov, resp. zariadení, na sieťovej vrstve. Podporuje IPv4 aj IPv6, transportný aj tunelový režim IPsec, a v rámci protokolu IKE podporuje statickú i dynamickú výmenu kľúčov.

Pre konfiguráciu bezpečnostného rozšírenia IPsec k zabezpečeniu sieťovej komunikácie je kľúčová práca s nižšie uvedenými konfiguračnými súbormi:

• etc/ipsec.conf – hlavný konfiguračný súbor pre definíciu spojení,
(nastavenie napr. IP adries, režimu prenosu, spôsobu autentifikácie)


• etc/ipsec.secrets – konfiguračný súbor obsahujúci zdieľané tajomstvá alebo kľúče potrebné pre autentifikáciu komunikujúcich strán.

Pre prácu s knižnicou strongSwan je nutné spustiť samotnú službu pomocou príkazu:

Knižnica strongSwan umožňuje vytváranie IPsec spojení (tunelov) medzi dvoma koncovými bodmi komunikácie. Spustenie, resp. manuálne vytvorenie zabezpečeného spojenia je možné príkazom:

Taktiež je možné zobraziť stav implementovaných IPsec tunelov vytvorených medzi zariadeniami:

Praktická časť

V rámci praktickej časti počítačového cvičenia bude vytvorená simulácia útoku IP spoofing pomocou nástroja hping3 s následnou analýzou komunikácie cez Wireshark. Simulovaný útok bude prebiehať vo virtuálnej sieti pozostávajúcej z troch virtuálnych strojov s Kali Linux (klient, server a útočník), ktorej topológia je schematicky znázornená na obrázku nižšie. Komunikácia medzi uvedenými virtuálnymi strojmi prebieha skrz virtuálny prepínač VMware virtual switch, ako je znázornené na uvedenom obrázku. Cieľom IP Spoofingu v dôsledku generovania IP paketov s podvrhnutou zdrojovou IP adresou môže byť vyvolanie nadväzujúceho DDoS útoku s cieľom zapríčiniť nemožnosť plnohodnotného fungovania zariadenia, ktoré je cieľom zamýšľaného útoku.

Následne si v nadväzujúcej ďalšej časti za účelom zabezpečenia prebiehajúcich dátových prenosov na úrovni sieťovej vrstvy vyskúšate konfiguráciu bezpečnostného rozšírenia IPsec, ktoré zaisťuje v rámci komunikácie medzi dvoma zariadeniami dôvernosť prenášaných IP paketov prostredníctvom šifrovania a tiež ich autentickosť a odolnosť voči narušeniu integrity.

Topológia virtuálnej siete a nastavenie virtuálnych strojov

Použité virtuálne stroje:

• obeť (klient): bežný počítač v sieti, cieľ útoku
• server: poskytovateľ sieťovej služby (napr. webserver, gateway)
• útočník: vykonáva IP spoofing, generuje IP pakety s falošnou zdrojovou IP adresou.

Sieťová konfigurácia:

• obeť: 192.168.126.129
• server: 192.168.126.130
• útočník: 192.168.126.131

Všetky virtuálne stroje musia byť prepojené v rovnakej virtuálnej podsieti pomocou sieťového režimu Host-Only alebo NAT, aby mohlo byť na VM predstavujúcom „útočníka“ realizované zachytávanie dátových prenosov (komunikácie) medzi klientom a serverom.

Zoznámenie sa s použitými nástrojmi

Prehľad základných príkazov pre jednotlivé používané nástroje

• hping3: spustenie simulácie IP Spoofingu:
  sudo hping3 -a <zdroj_IP> -S <ciel_IP> -p <port> -c <pakety>
• Wireshark: za účelom prehľadnejšej analýzy zachytenej dátovej komunikácie je doporučené využívanie vhodných filtrov pre zobrazenie vybraných paketov, napr. na základe konkrétnej zdrojovej a/alebo cieľovej IP adresy:
  ip.src == 192.168.126.129 && ip.dst == 192.168.126.130
• strongSwan: pre konfiguráciu zabezpečeného IPsec pripojenia medzi klientom a serverom pomocou knižnice strongSwan bude nutná vhodná modifikácia základných konfiguračných súborov, a to konkrétne:
  • etc/ipsec.conf – súbor nesúci hlavnú konfiguráciu IPsec
  • etc/ipsec.secrets – súbor obsahujúci autentifikačné kľúče

Postup pre vypracovanie laboratórnej úlohy

A) Príprava prostredia

Spustenie virtuálnych strojov

• Otvorte VMware Workstation Pro (umiestnený na ploche).
• Spustite postupne všetky tri virtuálne stroje (klient, server, útočník).
  Uistite sa v správnosti konfigurácie sieťových parametrov, overte priradenie IP adries.
• Prihláste sa do prostredia Kali Linux na VM útočníka.

Prihlasovacie údaje:

Overenie sieťovej konektivity

• Otvorte terminál (kliknite na ikonu terminálu v záhlaví horného pracovného panelu alebo stlačte Ctrl + Alt + T).
• Na jednotlivých VMs si zobrazte priradené IP adresy (na rozhraní eth0) pomocou príkazu:
  ip a
• Z klienta vyskúšajte pripojenie na server pomocou príkazu:
  ping <ip_adresa_servera>
  Ak prichádza odpoveď ping echo reply zo strany servera, sieťová komunikácia medzi zariadeniami funguje.


• Obdobným spôsobom overte možnosť spojenia v opačnom smere komunikácie.

B) IP spoofing útok pomocou hping3

Pomocou nástroja hping3 na VM útočníka je možné simulovať IP spoofing útok generovaním IP paketov s podvrhnutou zdrojovou IP adresou. Cieľom je odosielať pakety vzbudzujúce dojem, akoby boli odoslané samotným klientom. Týmto útokom je možné overiť, že cieľové zariadenie (server) nedokáže rozpoznať skutočného odosielateľa – teda útočníka. Prebiehajúca komunikácia vo vytvorenej sieti bude monitorovaná pomocou nástroja Wireshark.

Použitie nástroja hping3

• Na stroji útočníka otvorte terminál kliknutím na ikonu umiestnenú v záhlaví hlavného pracovného okna alebo v menu zvoľte Applications > System Tools > Terminal. Otvorí sa okno s príkazovým riadkom.
• Pre spustenie IP Spoofingu zadajte príkaz:
  sudo hping3 -a 192.168.126.129 -S 192.168.126.130 -p 80 -c 5
  Po zadaní príkazu bude zahájená simulácia útoku, resp. generovanie dátových paketov, ktoré sa budú javiť, ako keby boli odosielané zo zariadenia klienta.

Sledovanie prichádzajúcej komunikácie (server) vo Wiresharku

• Na serveri spustite Wireshark pomocou príkazu:
  sudo wireshark &
  Prepínač sudo spustí nástroj Wireshark s oprávneniami administrátora, čo je nevyhnutné pre zachytávanie sieťovej prevádzky v Kali Linux.


• V hlavnom okne vyberte sieťové rozhranie eth0 – dvojitým kliknutím spustíte zachytávanie (alebo kliknite na Start Capturing Packets v záhlaví panelu s nástrojmi).
• Do okna pre filtrovanie komunikácie zadajte:
  ip.src == 192.168.126.129 && ip.dst == 192.168.126.130
  Túto voľbu potvrďte stlačením Enter.
Použitie uvedeného filtra zaistí, že spomedzi všetkých zachytených dátových jednotiek prenesených v rámci komunikácie cez zvolené rozhranie budú zobrazené len pakety údajne „pochádzajúce od klienta“, t. j. pakety vyhovujúce filtru ip.src == 192.168.126.129 a ďalej tiež pakety, ktoré majú byť doručené na server, t. j. pakety vyhovujúce filtru ip.src == 192.168.126.130 (v skutočnosti sa však jedná o pakety generované na strane útočníka nástrojom hping3).


• Kliknutím pravým tlačidlom myši na niektorý zo zobrazených paketov a následným výberom možnosti Follow > TCP Stream je možné zobraziť celkový prehľadný priebeh spojenia medzi komunikujúcimi zariadeniami.
• Pre podrobnejšiu analýzu komunikácie kliknite na vybraný paket a v dolnej časti sledovaného okna Wiresharku si zobrazte sekciu Internet Protocol Version 4, kde si môžete bližšie zobraziť konkrétne hodnoty Source IP (zdrojová) a Destination IP (cieľová adresa).
Zdrojová IP adresa by mala mať hodnotu ip.src == 192.168.126.129 odpovedajúcu VM klienta, hoci bol príslušný paket v skutočnosti odoslaný zo stanice útočníka.


• Pre overenie úspešnosti IP spoofingu ďalej analyzujte fyzické MAC adresy zariadení, z ktorých boli jednotlivé pakety odoslané (zobrazenie v sekcii Ethernet II).

C) Zabezpečenie komunikácie s využitím IPsec

V nasledujúcej časti laboratórnej úlohy si vyskúšate prácu s knižnicou strongSwan podporujúcu implementáciu IPsec-u.

Konfigurácia IPsec v transportnom režime

• Na zariadení klienta aj serveri spustite inštaláciu knižnice strongSwan:
  sudo apt update && sudo apt install strongswan -y
  Použitie uvedeného príkazu zabezpečí inštaláciu balíka strongSwan, ktorý obsahuje potrebné komponenty pre vytvorenie zabezpečeného IPsec spojenia. Aktualizácia balíčkov (pomocou apt update) zaistí použitie aktuálnych verzií.
  
  
• Na oboch zariadeniach (klient aj server) upravte konfiguračný súbor /etc/ipsec.conf. Súbor otvoríte pomocou editora nano nasledovne:
  cd /etc
  sudo nano ipsec.conf
  Do súboru vložte nasledujúcu konfiguráciu (pre klienta):

  conn test
  left=192.168.126.129        # klient (aktuálny VM)
  right=192.168.126.130       # server (protistrana)
  authby=secret
  auto=start
  ike=aes256-sha1-modp1024
  esp=aes256-sha1
  keyexchange=ikev2

  ⚠️ Poznámka: uvedená konfigurácia platí pre nastavenie IPsec na strane klienta.

  Týmto nastavením definujete parametre zabezpečeného spojenia medzi klientom (left) a serverom (right). Autentizácia bude prebiehať pomocou zdieľaného tajomstva (PSK). Použitý je IKEv2 s konkrétnymi šifrovacími a autentifikačnými algoritmami. Parameter auto=start zabezpečí automatické nadviazanie definovaného IPsec spojenia pri štarte služby.


• Po úprave konfigurácie stlačte Ctrl + O pre uloženie, potvrďte klávesou Enter a ukončite editor Ctrl + X.
• Alternatívne: Ctrl + X → Y → Enter – týmto spôsobom zmeny uložíte a editor zavriete naraz.
• Upravte tiež súbor /etc/ipsec.secrets:
  sudo nano /etc/ipsec.secrets
  Vložte nasledujúci riadok:

  192.168.126.129 192.168.126.130 : PSK "tajneheslo"

  Tento zápis definuje zdieľaný kľúč (PSK), ktorý sa použije na autentizáciu medzi klientom a serverom. Na oboch stranách musí byť rovnaký, inak spojenie zlyhá.


• Po úprave súboru opäť použite Ctrl + O → Enter → Ctrl + X alebo Ctrl + X → Y → Enter pre uloženie a zatvorenie editora.


• Následne reštartujte službu a overte jej stav:
  sudo systemctl restart strongswan-starter
  sudo systemctl status strongswan-starter
• Rovnaký postup použite aj pri inštalácii strongSwan a konfigurácii zabezpečeného IPsec spojenia aj na strane serveru – dbajte na správne definovanie jednotlivých parametrov (IP adries) pri úprave konfigurácie v súboroch /etc/ipsec.conf a /etc/ipsec.secrets.

Pripojenie a overenie konfigurácie IPsec

• Na oboch zariadeniach (klient i server) spuste IPsec a následne vytvorte medzi nimi zabezpečené spojenie na základe predchádzajúcej konfigurácie:
  
  sudo ipsec start
  sudo ipsec up test
• Zobrazte si stav vytvoreného spojenia pomocou príkazu:
  
  sudo ipsec status
  V prípade správnej konfigurácie, by malo byť spojenie v stave ESTABLISHED (viď obr. 6). Pre zobrazenie podrobnejších informácií o spojení je možné alternatívne použiť príkaz:
  
  sudo ipsec statusall

• Dôležité je overiť tiež to, či komunikácia medzi zariadeniami klient ↔ server skutočne prebieha cez vytvorený IPsec tunel.


• Na serveri opäť otvorte nástroj Wireshark a spustite zachytávanie sieťovej prevádzky na rozhraní eth0.
• V termináli (server) s pomocou nástroja tcpdump sledujte komunikáciu na strane serveru, ktorá bude vykazovať známky používania IPsec tunela:
  
  sudo tcpdump -i eth0 port 500 or port 4500 or proto 50 or proto 51
• Použitie tcpdump s uvedenými parametrami zaistí sledovanie prevádzky súvisiacej s IPsec:
  
  • UDP port 500 (IKE),
  • protokol 50 (ESP),
  • protokol 51 (AH).
  Pre prípad použitia prekladu adries je vhodné overiť aj komunikáciu cez UDP port 4500 (NAT-T).
  
  
• Z klientskeho VM odošlite ping na server:
  
  ping 192.168.126.130
• Na serveri sledujte jednak výstup nástroja tcpdump v otvorenom okne terminálu, a súčasne i záznam komunikácie vo Wiresharku.
• Nižšie uvedený výpis dokazuje, že vytvorený šifrovaný IPsec tunel funguje a teda že medzi klientom a serverom prebieha výmena šifrovaných ESP paketov (protokol 50) práve cez tento tunel.

• Pre zobrazenie šifrovanej komunikácie vo Wiresharku je vhodné použiť filter:
esp || udp.port == 500 || udp.port == 4500
• Použitie uvedeného filtra zobrazí:
  
  • ESP pakety (protokol 50),
  • IKE komunikáciu (na porte UDP 500 – vytvorenie IPsec tunela),
  • IKE cez NAT-T (UDP port 4500 – ak sa IPsec prispôsobuje NAT-u).

• Ďalšia možnosť overenia:

  Pomocou nástroja hping3 opäť spustite na VM útočníka simuláciu útoku IP spoofing a sledujte, či sú odosielané pakety od útočníka na strane serveru odmietnuté. Správne nakonfigurované spojenie by malo zabrániť prijatiu neautentifikovanej komunikácie. Priebeh komunikácie sledujte tiež pomocou nástroja Wireshark.

Záver

V tejto laboratórnej úlohe ste sa zoznámili s problematikou bezpečnosti sieťovej vrstvy počítačových sietí a v tejto súvislosti tiež s rizikami spojenými s podvrhnutím IP adresy (tzv. IP spoofing), čo predstavuje častý spôsob narušenia integrity alebo dôvernosti komunikácie na sieťovej vrstve.

V praktickej časti ste pomocou nástroja hping3 realizovali simuláciu útoku, ktorý ilustruje, akým spôsobom je možné oklamať cieľové zariadenie použitím falošnej zdrojovej IP adresy uvedenej v záhlaví odosielaných dátových jednotiek. Následne ste si vyskúšali praktickú implementáciu rozšírenia IPsec, ktorý umožňuje komplexné zabezpečenie IP komunikácie, a to vrátanie šifrovania dát, autentizácie a zaistenia integritu prenosu. Porovnaním transportného a tunelového IPsec režimu ste získali prehľad o rôznych spôsoboch ochrany dátovej prevádzky a taktiež o ich vplyve na výslednú podobu paketov či celkový výkon počítačovej siete.

Zoznam literatúry

Kompletný zoznam použitých zdrojov nájdete na samostatnej stránke: Zoznam literatúry